Ledger actualiza firmware de monederos y corrige vulnerabilidad en Nano X

La empresa fabricante de carteras frías para criptomonedas, Ledger, anunció que la versión 1.2.4-4 del firmware de Ledger Nano X, y la versión 1.6.1 de Ledger Nano S ya están disponibles para su instalación en la interfaz para interacción con monederos de hardware, Ledger Live.

La información se dio a conocer a través de publicaciones en el blog corporativo de Ledger. Allí se explican algunas de las optimizaciones incorporadas a los dos modelos de carteras frías, entre ellas las relacionadas con la seguridad y la compatibilidad de los dispositivos.

Según se informa en el escrito, en el caso de la cartera fría Ledger Nano X se hace una mejora a la primera actualización, que apunta a la seguridad del monedero, luego de su lanzamiento hace un año. Aclaran que buscan superar una dificultad técnica encontrada en la actualización 1.2.4-2 realizada en julio pasado.

Por ello, esta nueva versión del firmware 1.2.4-4 consiste en un parche para esta vulnerabilidad, que permite actualizar el chip MCU o microcontrolador de la cartera de la versión 2.8 a la 2.10. De esta forma, el MCU se bloquea y no permite el ingreso de ningún código malicioso.

Con este parche se corrige un error de hardware que podía comprometer las carteras frías Nano X.

Tal como reportó CriptoNoticias en julio, la división de ciberseguridad de Kraken hizo público el hallazgo. En ese momento señaló que, mediante un ataque a la cadena de suministro de estos monederos, un asaltante podría tomar control de la computadora a la que se conecte el dispositivo e instalar un software malicioso que le permitiría robar criptomonedas.

Vulnerabilidad no pone en peligro los fondos, según Ledger

Una vez que Kraken notificó a Ledger de su informe, la empresa avisó al público que su equipo de expertos en seguridad, conocido como Donjon, haría una corrección a la vulnerabilidad en el chip MCU.

Acotaron que el chip MCU no maneja ningún dato sensible y solo funciona como enlace entre la interfaz del usuario (computadora o teléfono inteligente) y el elemento seguro (ST33), que es un segundo chip que almacena la frase de recuperación y el PIN.

Es por ello que el equipo Donjon asegura que con esta actualización se corrige completamente esta vulnerabilidad, la cual –a su juicio– no ponía en peligro las frases de recuperación de sus usuarios.

Concluyen que la falla detectada es física (requiere que el atacante tenga acceso directo al dispositivo) y solo apuntaba al MCU. Como el elemento seguro no se vio afectado, los fondos permanecen seguros aun sin realizar la actualización del firmware.

Mientras la seguridad del Ledger Nano X se base en el elemento seguro, incluso un firmware malicioso en el chip MCU no puede acceder a ningún dato en el elemento ST33, lo que significa que sus criptomonedas siguen estando seguras.

Ledger.

Aun así, lanzan esta actualización correctiva y reiteran que, con este parche, la frase de recuperación, claves privadas y las criptomonedas de los clientes serán resguardadas.

En el pasado se han detectado otras vulnerabilidades en las carteras frías de Ledger que posibilitaban infecciones con malwares, así como errores de código que se tradujeron en momentáneas pérdidas de fondos para algunos usuarios. Por eso la empresa ha creado un programa de recompensas.

Recientemente el investigador de criptomonedas, Monokh, denunció que Ledger posee una vulnerabilidad, que la empresa prefirió no solucionar, la cual permite el robo de BTC. El error está relacionado con el uso de al menos 16 altcoins bifurcadas, así como de aplicaciones que funcionan en la red de prueba de Bitcoin.

Preparan nuevas funciones para Nano S

Sobre la actualización del firmware para las carteras frías Nano S, el comunicado de Ledger indica que está centrada en adiciones para las próximas funciones que se incorporarán al dispositivo.

Entre estas funciones se halla la curva criptográfica BLS12-381 G1, utilizada en los protocolos de algunas redes blockchain. Esta tecnología es especialmente usada en Zcash para la implementación de firmas digitales y pruebas de conocimiento cero, las cuales aumentan la privacidad de las transacciones.

La nueva versión también aporta una mejora en la experiencia de usuario (UX), que facilitará el proceso de actualización del firmware sin necesidad de desconectar y volver a conectar el dispositivo.

De acuerdo a la publicación de Ledger, esta actualización solo estará disponible para los usuarios que hayan actualizado al menos a la versión 1.5.5. “Si está ejecutando una versión de firmware más baja, primero puede pasar a 1.6.0. Después de esto, puede obtener la versión 1.6.1″.